10. maj Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret

Transkript

1 10. maj 2016 Egedal Kommune Revision af generelle it-kontroller hos Egedal Kommune for regnskabsåret 2015

2 Malene Barfod Egedal Kommune Dronning Dagmars Vej Ølstykke 10. maj 2016 Formål Formålet med gennemgangen har været at vurdere, hvorvidt der er etableret forretningsgange og interne kontroller, som sikrer tilfredsstillende generelle it-kontroller. De generelle it-kontroller er fundamentet for automatiske applikationskontroller, regnskabsprocedurer og systemgenererede data og rapporter, som anvendes i nøglekontroller, og som påvirker den finansielle rapporteringsproces og årsrapporten. Denne rapport vedrører kun de forhold, der er nævnt nedenfor, og kan ikke udstrækkes til at omhandle kommunens forretningsprocesser og interne kontroller som helhed. Rapporten er udarbejdet udelukkende til ledelsen hos Egedal Kommune og må ikke anvendes af eller videregives til tredjemand uden vores forudgående samtykke. Omfang Vi har foretaget gennemgang af, hvordan it-kontroller er tilrettelagt, og så vidt muligt hvordan disse kontroller er implementeret. Vi har endvidere foretaget test af it-kontroller via dataudtræk og gennemgang af modtaget dokumentation. Revisionen er foretaget i henhold til gældende revisionsstandarder og har omfattet følgende hovedområder: It-politikker og organisation Drift af datacentre og netværk (særligt fokus på serviceleverandører) Anskaffelse, ændringer og vedligeholdelse af systemsoftware Adgangssikkerhed Anskaffelse, udvikling og vedligeholdelse af applikationssystemer Gennemgangen er foretaget i henhold til gældende revisionsstandarder og har omfattet følgende hovedområder: 1. It-politikker og organisation: Udvikling og implementering af it-strategi og sikkerhedspolitikker Identifikation og vurdering af it-risici It-medarbejdere Styring af outsourcing-/serviceleverandører 2. Drift af datacentre og netværk 3. Anskaffelse, ændringer og vedligeholdelse af systemsoftware 4. Adgangssikkerhed: Politikker og procedurer Beskyttelse af data og funktionsadskillelse 5. Anskaffelse, udvikling og vedligeholdelse af applikationssystemer. PwC 2

3 Vores arbejde, der er gennemført i perioden december 2015 til april 2016, har baseret sig på en opfølgning af tidligere års anmærkninger og ændringer foretaget i 2015 som har betydning for kommunens it-kontroller og disses implementering. Vores arbejde er baseret på interview med medarbejdere fra Økonomistyring og Finans, medarbejdere i lønafdelingen samt medarbejdere fra IT-Forsyningen I/S og stikprøvevis gennemgang af modtagen dokumentation og dataudtræk. Kommunen anvender it-serviceudbydere for væsentlige systemer, hvorved en væsentlig del af gennemgangen af de generelle it-kontroller for disse systemer baseres på årlige revisionserklæringer fra it-serviceudbyderne. Vi har modtaget dokumentation for at kommunen har gennemgået erklæringer fra Fujitsu vedrørende Prisme for perioden 1. november 2014 til 31. oktober 2015 samt erklæring fra Silkeborg Data vedrørende SD-Løn for perioden 1. januar 2015 til 31. december 2015 uden væsentlige bemærkninger hertil. Teknisk drift af kommunens it-infrastruktur, servere, databaser, datalager m.m. varetages af IT- Forsyningen I/S vedrørende systemer som kommunen ikke har outsourcet til andre serviceleverandører. For 2015 er det første år, hvor IT-Forsyningen I/S har udarbejdet en erklæring om generelle it-kontroller og effektiviteten heraf for perioden 1. januar til 31. december Af revisionserklæringen fremgår det, at der tages forbehold på en række områder, hvor kontrollerne ikke har været tilstrækkelige. Konklusion Det er vores vurdering, at det interne kontrolmiljø hos kommunen fortsat på enkelte væsentlige områder bør styrkes, før de generelle it-kontroller kan anses for fuldt ud tilstrækkelige og effektive. Med virkning for 2014 har kommunen sammen med andre kommuner etableret et fælles itdriftssamarbejde, hvor it-driften er outsourcet i det fælles IT-Forsyningen I/S. Dette har bevirket, at en række it-funktioner nu varetages af IT-forsyningen I/S s medarbejdere i stedet for medarbejdere ansat hos kommunen. Overgangen fra intern it-drift hos den enkelte kommune til fælles itdrift i IT-Forsyningen I/S regi har efter vores opfattelse været en udfordring, som driftsselskabet fortsat arbejder på at få på plads. Året 2015 bærer således, i lighed med året før, fortsat præg af udfordringer ved overgang til IT-forsyningen I/S, hvor systemer og procedurer har skulle overgå, iværksættes og justeres. Særligt vedrørende de generelle it-kontroller hos IT-Forsyningen I/S bør kommunen have et øget fokus. Det fremgår af revisionserklæringen af 9. marts 2016 fra IT-Forsyningen I/S, at der tages forbehold på en række områder, hvor kontrollerne ikke har været tilstrækkelige. Dette omfatter bl.a.: manglende risikovurdering manglende it- og informationssikkerhedspolitik manglende klassificering og registrering af aktiver manglende procedurer generelt i relation til styring af adgange uensartet opsætning af passwordkvalitet opsætning af logs og overvågning ej afstemt med de deltagende kommuner opfølgning på logs er ikke funktionsadskilt manglende scanninger af netværk for sårbarheder manglende procedurer for håndtering af hændelser IT-Forsyningen har ifølge det oplyste iværksat tiltag til udbedring heraf. De anførte forhold skal udbedres af IT-Forsyningen, men vi anbefaler at kommunen tager dialog herom for at sikre at relevant opfølgning bliver foretaget. PwC 3

4 En væsentlig del af informationssikkerhedsarbejdet er udarbejdelse og ajourføring af risikovurdering/konsekvensvurdering af kommunens it-systemer i samarbejde med systemejerne. Kommunen har arbejdet videre hermed i 2015, men pågår fortsat. Som følge af centralisering af it-driften i IT- Forsyningen I/S kan risikobilledet for kommunen have ændret sig væsentligt, hvorfor vi fortsat anbefaler, at risikovurderingen og sikkerhedspolitikken ajourføres i forbindelse med det videre arbejde med styrkelse af processer og kontroller i IT-Forsyningen I/S, herunder at der fastsættes specifikke krav til IT-Forsyningen I/S s kvalitet og leverancer. Ved vores gennemgang af brugerrettigheder i Prisme har vi fået oplyst, at der fortsat er brugere, der er tildelt adgang gennem rollerne Betroet og Regnskab, der tilsammen muliggør adgang til at oprette / ændre stamdata vedrørende kreditorer samtidig med at brugerne også har adgang til at foretage registreringer. Dette giver en risiko for, at medarbejdere utilsigtet eller tilsigtet kan ændre stamdata med risiko for at der sker misbrug af kommunens midler. Vi anbefaler, at kommunen sikrer, at der er etableret kontrol med ændring i kreditorstamdata enten gennem funktionsadskillelse eller gennem det etablerede ledelsestilsyn. På baggrund af den foretagne revision er det vores samlede vurdering, at de generelle it-kontroller hos Egedal Kommune er på et acceptabelt niveau (vurderet ud fra følgende skala: Ikketilfredsstillende, acceptabel, tilfredsstillende og meget tilfredsstillende). Vi har i forbindelse med vores revision givet anbefalinger til styrkelse af sikkerheden. I forhold til gennemgangen i 2014 er 6 anbefalinger blevet løst, mens vi ved gennemgangen har observeret ét nye forhold, der vedrører observationer i forbindelse med gennemgangen hos IT-Forsyningen I/S. Vores konklusion er baseret på de observationer og anbefalinger, der er anført i det vedlagte skema. Anbefalingerne i bilag 1 kan opsummeres således: It-politikker og organisation Drift af datacentre og netværk Anskaffelse, ændringer og vedligeholdelse af systemsoftware Adgangssikkerhed Anskaffelse, udvikling og vedligeholdelse af applikationssystemer IT- Forsyningen I/S Prioritet 1 0 (0) 1 (0) 0 (0) 3 (4) 0 (0) 1 (1) 5 (5) Prioritet 2 1 (0) 2 (3) 0 (0) 2 (4) 0 (0) 1 (3) 6 (10) Prioritet 3 1 (1) 0 (0) 0 (0) 3 (3) 0 (0) 1 (1) 5 (5) I alt 2 (1) 3 (3) 0 (0) 8 (11) 0 (0) 3 (5) 16 (21) I alt Prioriteringerne skal ses i forhold til det reviderede område og er nærmere defineret i bilag 1. Tal i () angiver antal anbefalinger i Observerede forhold, som vedrører IT-Forsyningen I/S s kontrolmiljø er i bilag 1 anført i særskilte afsnit IT-Forsyningen I/S for hvert område og er samlet opsummeret ovenfor i kolonnen IT- Forsyningen I/S. De væsentligste bemærkninger (prioritet 1) er følgende: Kontrolsvagheder vedrørende generelle it-kontroller hos IT-Forsyningen I/S. I Prisme har vi i 2014 observeret brugere, der er tildelt adgang gennem brugerrollerne Betroet og Regnskab, som tilsammen giver mulig adgang til at oprette / ændre stamdata vedrørende kreditorer samtidig med de også har adgang til at foretage registreringer. Vi har fået oplyst at forholdet er uændret i PwC 4

5 I Windows AD har vi observeret, at der er oprettet 52 bruger-id i gruppen Domain Admins. 13 af disse bruger-id er tilsyneladende eksterne brugere. I Windows AD har vi observeret, at der ikke er krav til sammensætningen af password (kompleksitet) samt at brugerkontoen ikke låses efter et antal logon-forsøg. Under vores gennemgang af it-kontroller hos IT-Forsyningen I/S i 2014 vedrørende Egedal Kommune, har vi fået oplyst, at IT-Forsyningens masterpassword dokument er placeret på et netværksdrev, hvor alle medarbejdere hos IT-Forsyningen har adgang. Dokumentet indeholder administrator passwords til servere og systemer, som IT-Forsyningen I/S drifter. Dokumentet er beskyttet med et password, som alene relevante medarbejdere har kendskab til. Ved gennemgang af ISAE 3402-erklæring vedrørende generelle it-kontroller for IT-Forsyningen I/S har serviceleverandørens revisor ikke fundet afvigelser i forhold til administration af adgangskoder. Det er ud fra erklæringen ikke muligt at konkludere, hvorvidt masterpassword dokumentet er blevet tilstrækkeligt sikret. Prioritet 2 og 3 anbefalingerne angiver svagheder, som påvirker den interne kontrol og risikostyring, som der bør arbejdes med på længere sigt. Økonomistyring & Finans har haft lejlighed til at gennemgå dette brev og medfølgende observationsskema, og Egedal Kommunes kommentarer er indarbejdet i observationsskemaet. Såfremt der måtte være kommentarer eller spørgsmål til ovennævnte, er I velkommen til at kontakte os. Vi vil gerne benytte lejligheden til at takke for et godt samarbejde i forbindelse med vores gennemgang. Med venlig hilsen PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab Jesper Møller Christensen Jesper Parsberg Madsen Rainer Petersen statsautoriseret revisor statsautoriseret revisor it-revisor PwC 5

6 Prioritet skal ses i forhold til det reviderede område og er defineret således: Prioritering 1. Væsentlig mangel Beskrivelse Dette er et alvorligt problem vedrørende intern kontrol, risikostyring eller rapportering, som kan medføre a. betydelige fejloplysninger i regnskab / bogføring som følge af væsentlige fejl eller mangler og / eller b. overtrædelse af gældende love, regler og retningslinjer. Bør omgående vurderes af ledelsen og eventuelt på bestyrelsesniveau. 2. Betydelig svaghed Dette er et problem vedrørende intern kontrol, risikostyring eller rapportering, som kan føre til a. unøjagtigheder i regnskab/bogføring b. mangel på kontrol i den reviderede organisatoriske enhed eller proces; og / eller c. overtrædelse af gældende love, regler og retningslinjer. Bør behandles af ledelsen inden for rimelig tid. 3. Svaghed Dette er et problem vedrørende intern kontrol eller risikostyring, hvis løsning vil føre til: a. forbedring af kvaliteten og / eller effektiviteten af det reviderede område. PwC 0

7 Bilag 1 Anbefalinger vedrørende revision af generelle it-kontroller Nr. Prio. Observation Risiko Anbefaling er 1. Politikker, organisation m.m Ref: A Informationssikkerhedspolitikkens struktur Under gennemgang af ledelsens informationssikkerhedspolitik mv. har vi observeret, at der er udarbejdet en informationssikkerhedspolitik (politik), som omfatter de væsentligste områder vedrørende informationssikkerhed. Det er vores vurdering, at omfanget generelt er dækkende for informationssikkerheden i kommunen. Vi har overordnet gennemgået det modtagne materiale og har følgende bemærkninger: 1. Politikkens hoveddokument Itsikkerhedspolitik indeholder både målsætninger, krav og as is - beskrivelser. Nogle på et meget teknisk detaljeret niveau og andre på meget overordnet niveau. 2. De offentlige bilag beskriver en række retningslinjer, herunder også gode konkrete risikovurderinger på en række forretningsmæssige områder for kommunens applikationer. Dokumentet indeholder imidlertid ikke en risikovurdering af infrastrukturkomponenter, som må siges at spille en væsentlig rolle Manglende ajourføring af informationssikkerhedspolitikkens struktur og indhold giver risiko for, at sikkerhedspolitikken og underliggende retningslinjer ikke afspejler de krav og forventninger som ledelsen har til kommunens overholdelse heraf. Manglende risikovurdering af risici ved kommunens itanvendelse, særligt efter at itdriften outsourcet til IT- Forsyningen, kan betyde, at risici ikke er synliggjort og at der er risici ved kommunens itanvendelse, der ikke i tilstrækkeligt omfang er afdækket til et niveau, som ledelsen kan acceptere. Vi anbefaler, at det overvejes at omstrukturere politikken, således at den niveauopdeles efter detaljeringsgrad, og at der målrettes til modtager efter nedenstående principper. Vi anbefaler, at politikken opbygges således: 1. Overordnet politik Kommunens overordnede politik i forhold til sikkerhedsniveauet i forbindelse med behandling, transport og lagring af systemer og data. En beskrivelse af den ønskede sikkerhedsstyring, placering af sikkerhedsansvaret i organisationen, krav til leverandører, kunder og andre eksterne samarbejdspartnere samt lovgivning mv. 2. Retningslinjer Den overordnede politik uddybes i målrettede selvstændige retningslinjer, som kan anvendes direkte til en specifik målgruppe. Disse retningslinjer kan være offentlige som f.eks. Pixi-bogen, der er rettet mod medarbejderne i 2010 Ovenstående anbefalinger vil indgå som et ændringsønske - senest når direktionen finder tiden moden til at foretage en revision og omstrukturering af den nuværende sikkerhedspolitik, vedtaget i Forinden vil It-centeret i dialog med revisionen foretage en konkretisering af ændringsønsket i forhold til opgavens omfang og organisationens medinddragelse, herunder et estimat af medgået tid og omkostninger set i forhold til nytteværdi Der afventes i Egedal Kommune en afklaring af hvor ansvaret for sikkerhedspolitikken er funderet efter organisationsændringerne i Egedal Kommune. Indtil da udføres der opfølgning på sikkerhedspolitikkens nuværende formu- PwC 1

8 Nr. Prio. Observation Risiko Anbefaling er i vurderingen af konsekvenser. Ligeledes mangler der en stillingtagen til risici ved uautoriseret adgang til systemer og data (f.eks. datamanipulation, datadestruktion eller lignende). 3. Det ikke-offentlige bilag synes at være en driftshåndbog vedrørende udvalgte væsentlige områder som eksempelvis backup og restore, og ikke en decideret instruks til politikken. Materialet indeholder samtidig en driftsmæssig risikovurdering, der ikke tydeligt beskriver handlingsplaner. 4. Dokumenterne mangler generelt en header med dokumentinformation/journalinformation. Status 2012: Området er uændret pga. igangværende organisationsændringer. Status 2013: Status er ifølge det oplyste uændret som følge af, at der arbejdes på et driftssamarbejde mellem flere kommuner med virkning fra 1/ Status 2014: Vi har ved gennemgangen fået oplyst, at kommunen i efteråret 2013 har ændret retningslinjer samt etableret procedurer for ledelsestilsyn i forbindelse med implementering af nyt personale og økonomisystem. Ifølge det oplyste er den overordnede itsikkerhedspolitik og informationssikkommunen, eller de kan være interne som f.eks. retningslinjer for sikkerhed i infrastrukturen på Windows AD eller baselines til serveropsætning. Ligeledes anbefaler vi, at der i de formelle kontrakter med eksterne samarbejdspartnere tilføjes et afsnit, som beskriver retningslinjer og ansvar for sikkerhed i forbindelse med f.eks. driftsopgaver. 3. Politikkens ikrafttræden, gyldighed og omfang samt godkendelse og krav til opfølgning: Politikkens dokumenter forsynes med en journal-header, (godkendelsesdato, versionsnummer, ændrings-log og ændret af, godkendt af mv.). lering af it-afdelingen under Center for ejendomme og intern service. Den ny ansvarlige afdeling vil blive bedt om at tage fat i pkt. A1 s anbefalinger Kommentar ikke modtaget 2014 Egedal Kommune er i gang med en transaktion fra DS484 til ISO27001 og 002, hvoraf vi forventer en fuld operationel Informationssikkerhedspolitik med tilhørende regelsæt og beskrevne procedurer. Informationssikkerhedspolitikken forventes at ligge færdig 3. kvartal 2015 hvor efter den skal godkendes i Byrådet Den overordnede politik forventes godkendt ultimo PwC 2

9 Nr. Prio. Observation Risiko Anbefaling er kerhedspolitikkens struktur dog uændret. Status marts 2015: Vi har ved gennemgangen fået oplyst, at den overordnede itsikkerhedspolitik og informationssikkerhedspolitikkens struktur er uændret. Egedal har for et år siden udarbejdet et internt notat, hvor en række udfordringer vedrørende sikkerhedspolitik og organisering og styring af sikkerhedsarbejdet er identificeret. Arbejdet med at styrke dette er ifølge det oplyste prioriteret med ansættelsen af en ny digitaliseringschef primo Status januar 2016: Vi har ved gennemgangen fået oplyst, at den overordnede itsikkerhedspolitik og informationssikkerhedspolitikkens struktur endnu er uændret. Vi er dog blevet oplyst, at der arbejdes på at udarbejde en ny informationssikkerhedspolitik, hvilket forventes færdig ultimo anden kvartal Vi anser fortsat punktet for åbent SD-Løn Mangelfulde procedurer vedrørende administration af adgang til informationssystemer og tjenester hos JN Data Vi har ved gennemgang af modtaget Mangelfulde procedurer vedrørende administration af adgang til informationssystemer og tjenester hos JN Data øger risikoen for, at uved- Vi anbefaler, at der rettes henvendelse til Silkeborg Data med henblik på, at få rettet op på de konstaterede svagheder i de etablerede procedurer Vi er enige i observationen. Personaleafdelingen vil anmode Silkeborg Data om at PwC 3

10 Nr. Prio. Observation Risiko Anbefaling er ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn konstateret, at der etableret procedurer for administration af adgang til informationssystemer og tjenester hos JN Data. Silkeborg Data har valgt at outsource driften af it-platform til Jyske Bank, der benytter JN Data som underleverandør. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for JN-Data, konstateret behov for styrkelse af procedurer vedrørende administration af adgang til informationssystemer og tjenester bl.a. omfattende: Registrering af bruger hos JN Data: Der er konstateret behov for styrkelse af processen for godkendelse og tildeling af administrative rettigheder. Udvidede adgangsrettigheder hos JN Data: For flere af de reviderede operativsystemer og database er det konstateret, at der er tildelt privilegerede adgangsrettigheder, der ikke vurderes at være begrundet i et arbejdsbetinget behov. Periodisk gennemgang af brugerenes rettigheder hos JN Data: På nogle områder er det konstateret behov for styrkelse af processen for regelmæssig gennemgang af kommende kan opnå uautoriseret adgang til systemer og data, der relaterer sig til Egedal Kommunes anvendelse af Silkeborg Løn. stramme op på svaghederne i de etablerede procedurer i henhold til revisionspunktet ved næstkommende møde. Personaleafdelingen vil i denne forbindelse efterspørge en løsning og tidshorisont for procedurerne Den blev der afholdt statusmøde med SD og problemerne er blev nævnt overfor SD. Vi har ikke modtaget svar fra SD om løsning og tidshorisont. Den bliver der afholdt statusmøde med SD, hvor problemerne bliver nævnt. Vi vil efterspørge en løsning og en tidshorisont. PwC 4

11 Nr. Prio. Observation Risiko Anbefaling er brugernes adgangsrettigheder. Styring af adgangskoder JN Data: For nogle operativsystemer og databaser mv. er der konstateret afvigelser vedrørende krav til kompleksitet og passwordlængde. Status marts 2016: Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller i tilknytning til drift af applikationerne i Silkeborg Løn for perioden 1. januar 31. december 2015 konstateret, at enkelte af de ovennævnte forhold er udbedret. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for JN-Data, konstateret forsat behov for styrkelse af procedurer vedrørende administration af adgang til informationssystemer og tjenester vedrørende: Udvidede adgangsrettigheder hos JN Data: Der er konstateret behov for styrkelse af processen for godkendelse af tildeling af administrative rettigheder. På visse områder er det konstateret, at der er tildelt adgangsrettigheder, der ikke er betinget af et arbejdsbetinget behov. Vi anser fortsat punktet for åbent. PwC 5

12 Nr. Prio. Observation Risiko Anbefaling er 2. Drift af datacentre og netværk Ref: C Manglende beredskabsplan Under gennemgang af beredskab og nødplaner har vi observeret, at der ikke eksisterer en formaliseret og testet beredskabsplan. Der er beskrevet en forretningsmæssig stillingtagen til risici, og der er etableret serviceaftaler, men en operationel beredskabsplan er ikke udarbejdet. Status 2012: Området er under udarbejdelse. Der er dog endnu ikke udarbejdet en egentlig it-beredskabsplan og nødplaner. Status 2013: Status er ifølge det oplyste uændret. Udarbejdelse af it-beredskabsplan og nødplaner forventes prioriteret og igangsat i forbindelse med det fælles driftsselskab i Status 2014: Status er ifølge det oplyste uændret. Udarbejdelse af it-beredskabsplan og nødplaner forventes fortsat prioriteret og igangsat i forbindelse med det fælles driftsselskab i Status marts 2015: Status er ifølge det oplyste uændret. Vi har fået oplyst, at kommunen vil prioritere arbejdet med deres procedurer i forhold til beredskabet i løbet af Under vores gennemgang af itkontroller hos IT-Forsyningen I/S Manglende beredskabsplan og test heraf skaber risiko for, at it-anvendelsen ikke kan genetableres inden for rimelig tid i forbindelse med omfattende skader på it-systemerne. Dette kan få væsentlig betydning for kommunens adgang til systemer og data. Vi anbefaler, at der ud fra en risikoanalyse etableres og på realistisk vis afprøves en beredskabsplan for itanvendelsen, således at tilgængeligheden til it-systemerne tilgodeses mest muligt. Planen bør opbevares på et sikkerhedsmæssigt forsvarligt sted og være tilgængelig for alle nøglepersoner i krisesituationer. Planen bør indeholde: 1. En organisatorisk nødplan, der beskriver, hvilke roller (handlinger) der skal udføres i en katastrofesituation, samt navngiver de personer, der har ansvaret for de enkelte roller (interne og eksterne). 2. En disaster recovery-plan, der beskriver, hvorledes kommunen vil udføre den tekniske reetablering af it-anvendelsen. Disaster recovery-planen bør indeholde en prioriteret liste over, hvilke systemer der vurderes mest kritiske for kommunen (er udarbejdet), samt en beskrivelse af hvorledes de enkelte aktiver er indbyrdes afhængige (f.eks. interfaces, infrastruktur mv.). 3. En forretningsmæssig nødplan, der beskriver, hvorledes og i hvilket omfang det er muligt at videreføre de daglige forretningsgange i den periode, hvor kommu Anbefalingerne tages til efterretning. Arbejdet omkring beredskabsplaner vil blive drøftet med og tilpasset Beredskabscentrets øvrige nødplaner, så Itforsyningen har sammenhæng med øvrig forsyningsvirksomhed, hvor kommunen har udarbejdet nødplaner for. It-centeret vil optage emnet som prioriteret indsatsområde i års- og udviklingsplanen for Arbejdet forventes prioriteret og igangsat i løbet af 2012/ Kommentar ikke modtaget 2014 Egedal Kommune har en kommunikationsplan for IT- Beredskabet. Informationssikkerhedspolitikken ud fra ISO27001, vil indeholde en fuldt udbygget og gennemte- PwC 6

13 Nr. Prio. Observation Risiko Anbefaling er Ref: C vedrørende Egedal Kommune, har vi observeret, at der udarbejdet en beredskabsplan, dateret 29. december Planen har således ikke været effektiv for Status januar 2016: Status er ifølge det oplyste uændret. Vi har ved gennemgang fået oplyst at udarbejdelse af it-beredskabsplan og nødplaner forventes færdig i forlængelse af det forestående arbejde med ny informationssikkerhedspolitik ultimo anden kvartal Vi anser fortsat punktet for åbent. 2 Generelt: Logning og opfølgning på hændelser Under gennemgang af logning har vi observeret, at logningsniveauet på Windows AD er tilstrækkeligt. Vi har imidlertid fået oplyst, at der ikke foretages regelmæssig vurdering af log-data. Status 2012: Status på området, er ved at blive undersøgt af kommunen. Status 2013: Status er ifølge det oplyste uændret. Det forventes at en løsning i det fælles selskab vil blive implementeret i Status 2014: Status er ifølge det oplyste uændret. Det forventes stadigvæk, at en løsning i Utilstrækkelig logning af hændelser på Windows AD medfører risiko for, at hændelser og uautoriserede handlinger på systemerne ikke opdages rettidigt. nens it ikke er tilgængelig. Vi anbefaler, at log-data gennemgås regelmæssigt, f.eks. ved anvendelse af konsolideret logning og analyseværktøjer, som kan sende alarmer vedrørende foruddefinerede hændelser, der bør undersøges nærmere. Ligeledes anbefaler vi, at der etableres en central log-server, hvor de respektive logs kan opbevares, således at adgang kun er mulig for udvalgte personer. Anbefaling marts 2015: Endvidere anbefaler vi, at der fastsættes krav til logning, således at Audit Process Creation, Directory Service Changes, Sensitive Privilege Use samt Logon og Logoff sættes til at logge både Success og Failure. stet beredskabsplan, herunder tidsplaner for gentest ud fra forskellige senarier Det findes en midlertidig beredskabsplan, som bliver afløst af en ny beredskabsplan jf. status på informationssikkerhedspolitik (pkt ) Anbefalingen følges. Itcenteret vil, inden en løsning idriftsættes, foretage en vurdering af metode og værktøj, således at dataindsamling, hændelsesgennemgang og rapportering kan ske med størst mulig automatik og effektivitet og med mindst mulig ressourceindsats. Løsningen forventes implementeret inden udgangen af Arbejdet blev ikke gennemført i 2011 og vil derfor blive opprioriteret i PwC 7

14 Nr. Prio. Observation Risiko Anbefaling er det fælles selskab vil blive implementeret i Status marts 2015: Under gennemgangen har vi fået oplyst, at IT-Forsyningen har opgaven med at overvåge driften herunder gennemgå logning. Det er oplyst, at der p.t. ikke er fastlagt en SLA herfor. Under gennemgang af procedurerne hos IT-Forsyningen har vi fået oplyst, at der løbende sker overvågning af driften og opfølgning på driftshændelser. Ved vores gennemgang af logningsniveauet på Windows AD har vi dog observeret, at logningen flere steder er utilstrækkelig i forhold til god praksis. Dette gælder lognings indstillingerne: Audit Process Creation, Directory Service Changes, Sensitive Privilege Use samt Logon og Logoff, hvor der enten ikke logges eller alene logges ved succes. Status marts 2016: Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til for IT-Forsyningen I/S observeret, at serviceorganisationens revisor har givet forbehold i erklæringen vedrørende området 12.4 Logning og overvågning, jf. observation Kommentar ikke modtaget 2014 Egedal Kommune og IT- Forsyningen er pt. i gang med at udvikle en generel SLA. Egedal Kommune er under afklaring af, om vi skal stilles krav til IT- Forsyningen om, at de skal etablere en fælleslog-server samt opstille procedure for gennemgang af logs i forbindelse med opståede hændelser. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling Status er uændret. Egedal kan stille krav til IT- Forsyningen, om at der opstilles en logningsserver i samspil med øvrige kommuner. Kan ske i regi af itsamarbejdskredsen. PwC 8

15 Nr. Prio. Observation Risiko Anbefaling er Endvidere har vi ved vores gennemgang af logningsniveauet på Windows AD observeret, at logningen flere steder er utilstrækkelig i forhold til god praksis. Dette gælder logningsindstillingerne: Process Creation, Directory Service Changes, Logon, Other Logon/Logoff Events, Special Logon, Audit Policy Change og Sensitive Privilege Use, hvor der enten ikke logges eller alene logges ved succes. Vi anser fortsat punktet for åbent Ref: C Vitae: Logning af sikkerhedsmæssige hændelser Under gennemgang af logning har vi observeret, at succesfulde login-forsøg ikke logges på SQL-serveren EGE0- omsorg02. Status 2012: Status på området, er ved at blive undersøgt af kommunen. Status 2013: Vi har fået oplyst, at SQL-serveren EGE0-omsorg02 er ændret til SQLege0-Omsorg01. Under gennemgang af opsætning af logning på serveren har vi observeret, at succesfulde login-forsøg logges, mens at fejlslagne login-forsøg og logning af anvendelse af adgangsrettigheder ikke logges. Manglende logning af succesfulde login-forsøg medfører risiko for, at handlinger ikke kan tilbagespores til den person, som har foretaget dem. Vi anbefaler, at log aktiveres for både Success og Failed logins, idet det således kan spores, hvem der reelt har været logget direkte på databasen og hvornår. Anbefalingen imødekommes - se i øvrigt kommentarer under C Ege0-omsorg02 bliver opgraderet i Punktet vil herefter blive prioriteret når denne opgradering er fundet sted. 2013: Vi anbefaler, at log aktiveres for både success og failed logins og dette omfatter Audit account logon events og Audit logon events. Endvidere anbefaler vi, at fejlslagne forsøg på anven- PwC 9

16 Nr. Prio. Observation Risiko Anbefaling er Status 2014: Status er ifølge det oplyste uændret. Status marts 2015: Status er ifølge det oplyste uændret. Vi har ved gennemgangen endvidere fået oplyst, at kommunen er i gang med et udviklingsprojekt for implementering af nyt system i løbet af Status januar 2016: Vi har ved gennemgangen observeret at logning af sikkerhedsmæssige hændelser foregår via CSC Vitae Suite sikkerhedsmodul. Punktet lukkes. delse af adgangsrettigheder (Audit priviledge use) logges Kommentar ikke modtaget 2014 Egedal Kommune og IT- Forsyningen er pt. i gang med at udvikle en generel SLA. Egedal Kommune er under afklaring af, om vi skal stilles krav til IT- Forsyningen om, at de skal etablere en fælleslog-server samt opstille procedure for gennemgang af logs i forbindelse med opståede hændelser. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling Kontrolsvagheder vedrørende generelle it-kontroller hos IT- Forsyningen I/S Vi har ved gennemgang af modtaget ISAE 3402-erklæring vedrørende generelle it-kontroller og effektiviteten heraf for perioden til for IT-Forsyningen I/S i tilknytning til teknisk drift af infrastruktur, servere, databaser, datalager Generelle kontrolsvagheder vedrørende generelle itkontroller hos IT-Forsyningen I/S vedrørende drift og vedligeholdelse af infrastruktur, servere, databaser, datalager m.m. for systemer som er outsourcet til IT-forsyningen I/S øger risikoen for, kommunens krav til it-sikkerhed for an- Vi anbefaler, at kommunen sammen med de øvrige ejerkommuner og IT- Forsyningen I/S igangsætter initiativer, for at imødegå de konstaterede svagheder i de konstaterede kontroller og kontrolområder Anbefalingen vil i lighed med den samlede revisionsrapport vendes i samarbejde med IT-Forsyningen med henblik på at finde fælles overenskomst om velegnede løsninger på om- PwC 10

17 Nr. Prio. Observation Risiko Anbefaling er m.m. af systemer som kommunen ikke har outsourcet til andre serviceleverandører, konstateret, at der på de fleste kontrolområder er etableret procedurer og kontroller vedrørende it-sikkerhed, drift og vedligeholdelse af disse systemer. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for IT-Forsyningen I/S konstateret behov for styrkelse af kontroller for følgende kontrolområder, hvor de etablerede kontroller ikke er tiltrækkeligt effektive til at sikre opfyldelsen af de beskrevne kontrolmål, hvorfor der er afgivet erklæring med forbehold: Område 5.1 Retningslinjer for styring af informationssikkerhed: At levere midler til styring af og støtte for it-sikkerhed i overensstemmelse med forretningens krav og med relevante bestemmelser. Område 8.2 Klassifikation af information: At sikre passende beskyttelse af information, der står i forhold til informationens betydning for organisationen. Område 12.4 Logning og overvågning: At registrere hændelser og tilvejebringe bevis. Område 12.5 Styring af driftssoftware: At sikre integriteten af vendte systemer ikke efterleves, herunder at uvedkommende kan opnå uautoriseret adgang til systemer og data, der relaterer sig til Ballerup Kommune. rådet. PwC 11

18 Nr. Prio. Observation Risiko Anbefaling er driftssystemer (ok fra oktober 2015 og frem). Område 18.2 Gennemgang af informationssikkerhed: At sikre, at informationssikkerhed er implementeret og drives i overensstemmelse med organisationens politikker og procedurer. Serviceleverandørens revisor har ved gennemgangen af de generelle itkontroller for IT-Forsyningen I/S endvidere konstateret behov for styrkelse af it-kontroller på andre områder, herunder: Politik for adgangsstyring (9.1.1): Det er konstateret, at der ikke er udarbejdet en politik for adgangsstyring, som har været godkendt af ledelsen i hele revisionsperioden. Brugerregistrering og afmelding (9.2.1): Der er konstateret, at der ikke er udarbejdet en formel procedure i forbindelse med brugerregistrering og afmelding. Det er dog konstateret, at alle brugerregistreringer og afmeldinger håndteres via Service-Desk- Systemet. Begrænset adgang til informationer (9.4.1) samt procedure for sikker logon (9.4.2): Det er kon- PwC 12

19 Nr. Prio. Observation Risiko Anbefaling er stateret, at der ikke er en fast dokumenteret proces til at sikre en ensartet eller specifik opsætning af servere og platforme, herunder password. Der er yderligere konstateret, at passwordkonfigurationen på kommunernes domains ikke i alle henseender er opsat efter normal best practice eller i overensstemmelse med IT- Forsyningens passwordpolitik. Fysisk adgangskontrol (11.1.2): Det er konstateret, at ejerkommunerne Ballerup og Værløse varetager oprettelsen og nedlæggelsen af adgange til serverrum på trods af, at IT-Forsyningen I/S har ansvaret for at sikre, at kun medarbejdere med godkendt arbejdsbetinget behov får adgang til serverrummene. Ejerkommunerne kan derved oprette og nedlægge brugeradgang løbende uden IT- Forsyningen er bekendt hermed. Netværksstyring (12.6.1): Det er konstateret at der ikke periodisk foretages scanninger af netværket, med henblik på at sikre, at der ikke er såbarheder. Sikring af netværkstjenester (13.1.2): Det er konstateret, at der ikke er udarbejdet serviceaftaler vedrørende driften af netværk for kommunerne samt for IT- Forsyningens eget netværk, inde- PwC 13

20 Nr. Prio. Observation Risiko Anbefaling er holdende bl.a. stillingtagen til sikkerhedsforanstaltninger, SLA og ansvarsplacering. Verificer, gennemgå og evaluer informationssikkerhedskontinuiteten (17.1.3): Det er konstateret, at der er foretaget test af kommunikationskanaler i tilfælde af en beredsskabssituation. Der har dog ikke været foretaget yderligere skrivebordstest af beredskabsplanen. 3. Anskaffelse, ændringer og vedligeholdelse af systemsoftware Ingen bemærkninger. 4. Adgangssikkerhed Ref: D Generelt: Opfølgning på brugeradministration Under gennemgang af brugeradministration generelt og opfølgning herpå har vi observeret, at der er udarbejdet procedurer for brugeradministration, og at denne skal sikre godkendelser af brugeroprettelser på de væsentligste applikationer i kommunen. Der er derimod endnu ikke implementeret en kontrol, som skal følge op på, om procedurerne reelt efterleves. Vi har i forbindelse med vores gennemgang af området fået oplyst, at implementeringen af kontrollen lader vente lidt på sig af hensyn til ressourceprioriteringer. Mangelfuld overholdelse af kommunens procedure for nedlæggelse af brugeradgang til kommunens systemer og data medfører risiko for at brugeradgangen ikke spærres / slettes rettigdigt i forbindelse med medarbejderens fratrædelse, hvilket medfører øget risiko for uautoriseret adgang til væsentlige systemer og data. Vi anbefaler, at etableringen af denne kontrol prioriteres, således at systemejerne kan få et reelt grundlag at foretage oprydning og godkendelse på, på regelmæssig basis. Marts 2015 Vi anbefaler endvidere, at kommunen indskærper over for de ansvarlige ledere, at informere de relevante systemejere om medarbejdernes fratrædelse eller alternativt etablerer en fælles indgang til indberetning heraf Anbefalingen følges. Arbejdet med en ensartet tilgang til brugeradministration og kontrolprocedurer vil blive igangsat i efteråret 2011 i forbindelse med opstart af Itsikkerhedskoordinatorgruppens arbejde Punktet er fortsat åbent da der ultimo indføres nyt personale og økonomisystem. Ved denne implementering sker der en decentralisering PwC 14

21 Nr. Prio. Observation Risiko Anbefaling er Status 2012: Området er uændret. Status 2013: Status er ifølge det oplyste uændret. Revideret procedure vil blive implementeret i forbindelse med nyt økonomisystem & lønsystem i foråret Status 2014: Det er oplyst, at procedurer for brugeradministration og tildeling af systemadgange er ajourført i forbindelse med implementering af nyt personale og økonomisystem, Prisme. Endvidere er der i efteråret 2013 implementeret procedurer for ledelsestilsyn. Vi har gennemgået procedurer for ledelsestilsyn pr. oktober 2013 og observeret, at tilsynet ikke vedrører brugeradgang til systemer, men omfatter andre forhold omkring personale og økonomi. Det er oplyst, at procedure for kontrol af Prismebrugere og deres tildelte rettigheder er under udarbejdelse. Status marts 2015: I forbindelse med test af kommunens procedurer for brugeradministration for brugeradgang til Windows, Prisme og SD-løn, har vi observeret, at procedurerne for spærring / nedlæggelse af brugerkonti ved fratrædelse, ikke følges konsekvent. Der er således fortsat ikke etableret en effektiv kontrol, der sikrer at procedurerne efterleves. som har indflydelse på den interne revision. Der vil i 2013 blive udarbejdet en ny intern revisionsprocedure Kommentar ikke modtaget 2014 Vi er enige i observationen. Vi vil fra økonomiafdelingen indskærpe proceduren om brugeradministration over for de ansvarlige ledere i Egedal kommune. Egedal Kommune er i samarbejde med Ballerup og Furesø Kommuner ved at etablere en føderationsløsning til sikring af den aktuelle problematik. Se endvidere pkt Se ovenfor. PwC 15

22 Nr. Prio. Observation Risiko Anbefaling er Ved gennemgangen har vi observeret 12 tilfælde ud 25 fratrådte medarbejdere, hvor der ikke foreligger dokumentation fra lederen om, at vedkommende fratræder og adgang til systemer og data skal spærres. Særligt for adgang til Windows netværket har vi observeret, at brugerkontiene fortsat er aktive, da der ikke forligger en nedlæggelsessag hos IT- Forsyningen I/S herom. Vedrørende Prisme har vi observeret, at medarbejderne i Center for Økonomi og Finans generelt er opmærksomme på fratrådte medarbejdere og at adgang til Prisme i de fleste tilfælde er spærret, undtagen i to tilfælde, hvor adgangen fortsat er aktiv. Status april 2016: I forbindelse med test af kommunens procedurer for brugeradministration for brugeradgang til Windows, Prisme og SD-løn, har vi observeret, at procedurerne for spærring / nedlæggelse af brugerkonti ved fratrædelse, fortsat ikke følges konsekvent. Der er således fortsat ikke etableret en effektiv kontrol, der sikrer at procedurerne efterleves. Dette gælder særligt for Windows netværket, hvor vi ved gennemgang har observeret 42 brugerkonti, der fortsat var aktive trods fratrædelse. Vedrørende Prisme har vi observeret, at adgang til Prisme i de fleste tilfælde er spærret, undtagen i fire tilfælde, PwC 16

23 Nr. Prio. Observation Risiko Anbefaling er hvor adgangen fortsat er aktiv. Vi anser fortsat punktet for åbent Ref: D Prisme: Adgang til stamdata vedrørende kreditorer Under gennemgang af udvalgte brugerroller i Prisme har vi observeret brugere, der er tildelt adgang gennem brugerrollerne Betroet og Regnskab, som tilsammen giver mulig adgang til at oprette / ændre stamdata vedrørende kreditorer samtidig med de også har adgang til at foretage registreringer. Efter det oplyste har kommunen ikke etableret kontrol med ændring af stamdata. Status marts 2015: Status er ifølge det oplyste uændret. Status januar 2016: Status er ifølge det oplyste uændret. Vi har ved gennemgang fået oplyst, at en styrket kontrol med adgang til stamdata forventes implementeret i forlængelse af det forestående arbejde med ny informationssikkerhedspolitik ultimo anden kvartal Vi anser fortsat punktet for åbent. Kommunens indførte ledelsestilsyn retter sig ikke specifikt mod kontrol med stamdata, hvorved der er risiko for, at medarbejdere utilsigtet eller tilsigtet kan ændre stamdata med risiko for at der sker misbrug af kommunens midler. Vi anbefaler, at kommunen styrker kontrollen med ændring af stamdata, særligt vedrørende kreditorer enten gennem etablering af systemmæssig funktionsadskillelse i Prisme således at medarbejdere, der er bemyndiget til at oprette / ændre stamdata ikke samtidigt kan foretage registreringer eller at ændringer i udvalgte kreditorstamdata systemmæssigt registreres i en log, der gennemgås periodisk af betroet personale eventuelt gennem det etablerede ledelsestilsyn Vi er enige i observationen. Økonomiafdelingen vil foretage en gennemgang af brugerrollerne Betroet og Regnskab for en tilpasning af rollerne på kreditor siden. Herudover vil økonomiafdelingen etablere en kontrol af dem der har adgang til brugerrollerne Betroet og Regnskab der sikre at der ikke foretages utilsigtet eller tilsigtet ændringer eller registreringer i kreditorerne Økonomiafdelingen foranlediger at der opsættes kontrolprocedure for ændringer af stamdata på kreditorer i Ref: 3 Windows AD: Manglende skift af password Under gennemgang af Windows AD Der er risiko for, at password bliver kendt af uvedkommende i forbindelse med systemkompromittering, afluring, Vi anbefaler, at alle password skiftes regelmæssigt i henhold til kravene i sikkerhedspolitikken, herunder især for medarbejdere der har udvidede 2010 Anbefalingerne følges. Alle PwC 17

24 Nr. Prio. Observation Risiko Anbefaling er D har vi observeret, at 118 bruger-id (hvor password er sat til, at det kan skiftes) ikke har påtvunget passwordskift i henhold til den implementerede passwordpolitik. Af vores udtræk fremgår det, at der eksisterer en del personlige bruger-id, som omgår sikkerhedspolitikken, herunder en række, der tilhører medarbejdere i it-centeret. Status 2012: Vi har fået oplyst, at Windows brugerne gennemgås regelmæssigt og at personspecifikke brugere skifter password regelmæssigt. Vi har modtaget udskrift, som viser at de brugere som ikke skifter password er systembrugere og inaktive testbrugere. Vi anser punktet for lukket. Status 2013: Under gennemgang af Windows AD har vi observeret 5 aktive bruger-id, hvor password ikke er skiftet i henhold til kommunens politik. Det omfatter alle eksterne konsulent konti. Det er oplyst, at forholdet straks rettes. Status 2014: Status er ifølge det oplyste, at forholdet er blevet rettet ad to omgange. Status marts 2015: Under vores gennemgang af Windows AD har vi observeret 2 administratorkonti samt 7 almindelige brugerkonti, der ikke følger den gældende passbevidst eller ubevidst videregivelse eller lignende. rettigheder eller adgang til kritisk eller fortrolige informationer. Der bør regelmæssigt foretages en opfølgning på, om retningslinjer efterleves. De programmerede passwordkontroller bør kun omgås efter dispensation, f.eks. systembruger-id eller lignende - og her er det i princippet ikke nødvendigt at kende password. brugere er i systemerne sat til at skulle ændre password inden for en kortere tidsbestemt periode. Efter revisionens gennemgang og påvisning af problemet med omgåelse hos et fåtal medarbejdere, der har udvidede rettigheder eller adgang til kritisk eller fortrolige informationer, vil Itcenterets ledelse periodisk gennemgå disse konti med henblik på at imødekomme den type af sikkerhedsbrud. It-ledelsen har endvidere som følge af revisionens findings givet instruks til samtlige medarbejdere i Itcenteret om at følge de spilleregler, der er nedskrevet i it-sikkerhedspolitikken Kommentar ikke modtaget 2014 IT-Forsyningen vil straks sikre, at alle brugerkonti lever op til den gældende itsikkerhedspolitik. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde PwC 18

25 Nr. Prio. Observation Risiko Anbefaling er wordpolitik om periodisk skift af password. Status marts 2016: Under vores gennemgang af Windows AD har vi observeret 3 personhenførbare konti som ikke er påtvunget krav om periodisk skift af password. Disse brugerkonti har dog ingen privilegerede rettigheder eller adgang til Prisme, hvorved risikoen er reduceret. Vi anser fortsat punktet for åbent. sig til den aktuelle problemstilling Den overordnede politik forventes godkendt ultimo Ref: D Vitae: SQL-server: Manglende opdatering Under gennemgang af basisopsætningen af serveren "SQLege0-Omsorg01" har vi observeret at serveren ikke er opdateret til seneste servicepack fra Microsoft. Vi har fået oplyst, at opdatering af serveren forventes at blive gennemført inden august Status 2014: Status er ifølge det oplyste, at opdateringen af serveren er blevet gennemført. Status marts 2015: Status er ifølge det oplyste uændret. Vi har endvidere ved gennemgangen fået oplyst, at kommunen er i gang med et udviklingsprojekt for implementering af nyt system i løbet af Status januar 2016: Anvendelse af databaser, som ikke er opdateret til seneste version giver risiko for at sikkerhedsbrister i ældre versioner kan blive udnyttet til at opnå uautoriseret adgang til data. Vi anbefaler, at SQL-serveren opdateres til seneste servicespack Kommentar ikke modtaget 2014 Egedal Kommune er i gang med at implementere et nyt system, hvorfor dette punkt ikke synes aktuelt. Generelt kan man sige, at det ikke altid det mest hensigtsmæssigt at opdatere til nyeste servicepacks, uden at have foretaget funktionstests inden da. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling. PwC 19

26 Nr. Prio. Observation Risiko Anbefaling er Vi har ved gennemgangen observeret at Vitae SQL server er opdateret med seneste service pack. Punktet lukkes Ref: D Vitae: SQL-server: Systembrugerkonti Under gennemgang af basisopsætningen og brugerkonti af serveren "SQLege0-Omsorg01" har vi observeret, at 3 aktive brugerkonti, som har systemadministratoradgang ud over windows administratorerne. Standardkontoen "SA", SQL-brugerkontoen "SQLDBADMIN", og Windows brugerkontoen "tek". Vi har endvidere observeret, at "tek" brugeren ikke har været anvendt i længere tid. Vi har fået oplyst, at databaseserveren fjernadministreres af CSC og andvendelsen af disse brugerkonti ikke er kendt af Egedal kommune. Status 2014: Status er ifølge det oplyste, at SAbrugerkontoen stadigvæk anvendes. Status marts 2015: Status er ifølge det oplyste uændret. Vi har endvidere ved gennemgangen fået oplyst, at kommunen er i gang med et udviklingsprojekt for implementering af nyt system i løbet af Status januar 2016: Anvendelse af SQLbrugerkonti med systemadministratorrettigheder, herunder "SA"-brugerkontoen øger risikoen for, at uvedkommende kan opnå uautoriseret adgang til data som følge af, at brugerkontiene authentificeres af databasen og ikke af Windows AD. Endvidere er der risiko for, at anvendelse af brugerkontiene ikke kan spores til de brugere, som har adgang til databaseserveren. Vi anbefaler, at standard systemadministratorkontoen i SQL "SA" deaktiveres samt at "SQLDBADM" kontoen erstattes af en windowsbrugerkonto. Endvidere anbefaler vi, at Egedal undersøger behovet for kontoen "tek"'s fortsatte adgang er nødvendig og at brugerkontoen om nødvendig deaktiveres eller slettes Kommentar ikke modtaget 2014 IT-Forsyningen gennemgår deres rettighedsstruktur med henblik på, om det giver forretningsmæssig logik at leve op til revisionens anbefalinger. Egedal Kommune undersøger brugerkontoen tek og beder IT-Forsyningen om at deaktivere den, hvis og såfremt den ikke længere har et validt anvendelsesformål. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle problemstilling. PwC 20

27 Nr. Prio. Observation Risiko Anbefaling er Vi har ved gennemgangen observeret at brugeren tek er lukket efter kommunens henvendelse til ITF. Punktet lukkes Ref: D Windows AD: Passwords i klartekst Under gennemgang af Windows AD har vi observeret minimum 78 brugerid, hvor password er skrevet i klartekst i kommentarfeltet i Windows AD. Flere bruger-id har administratorrelaterede rettigheder til en eller flere af kommunens servere eller systemer, herunder Acadre, Vitae, Sikkerpost mv. Enkelte er observeret som medlem af gruppen Domain Admins. Domain Admins har ubegrænsede rettigheder til Windows-infrastrukturen. Status 2012: Vi har fået oplyst, at ingen brugere har deres password skrevet i klartekst i kommentarfeltet i Windows AD. Vi betragter området som lukket, når vi har modtaget dokumentation for påstanden. Status 2013: Under gennemgang af Windows AD har vi observeret at password ikke er anført i klartekst i kommentarfeltet i Windows AD med undtagelse af to brugerkonti. Det er oplyst, at forholdet straks rettes. Status 2014: Risiko (uautoriseret adgang) herved opstår primært, fordi passwordet står i klar tekst og ikke er beskyttet af kryptering eller lignende. Og da alle i Windows-miljøet kan trække oplysninger om brugeres parametre i infrastrukturen, opstår der risiko for, at der kan opnås uautoriseret adgang til data på alle computere, alle systemer eller data i domænet, hvor der autentificeres med Windows. Vi anbefaler, at kommunen hurtigst muligt fjerner alle password i klartekst. Ligeledes anbefaler vi, at der foretages en gennemgang af passwordsikkerheden generelt i kommunens infrastruktur, og at password skiftes for alle bruger-id, der har været eksponeret. Rækkefølgen bør være prioriteret, så bruger-id med flest privilegier og/eller kritisk adgang skiftes først. Vi anbefaler endvidere, at der gennemføres træning i sikkerhed på infrastrukturområdet, samt at der udarbejdes baselines (basisopsætning og tjeklister) vedrørende sikkerhed på servere mv., dels til brug for it-afdelingen, dels til leverandører. Marts 2015: Vi anbefaler at password til den pågældende konto fjernes fra kommentarfeltet eller at kontoen alternativt lukkes, jf. observation Anbefalingen følges, se i øvrigt kommentarer under pkt.d It-centerets ledelse vil drøfte med revisionen, hvorledes anbefalingen omkring træning og baselines iværksættes med størst mulig effekt Ingen kommentarer modtaget 2013 Kommentar ikke modtaget 2014 Egedal Kommune har anmodet IT-Forsyningen om at sikre at der ikke er passwords i klar tekst, alternativt at nedlægge brugerkontoen. Derudover vil Informationssikkerhedspolitikken indeholde regler og procedure for, hvordan man skal forholde sig til den aktuelle PwC 21